我们的业务面向电子政务、医疗、教育、金融、物联网、工业互联网、智能制造等领域,提供商用密码技术研究、测试评估、应用方案咨询、实验验证、诊断改进、培训、靶机环境、测试工具集宣贯的一站式公共服务。
背景介绍
当今世界,网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。
商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
当前,我国网络安全形势异常严峻,重要网络和信息系统的安全现状很不理想。密码作为大国标配,与核技术、航天技术并称为国家安全的三大支撑技术,是解决网络安全最有效、最可靠、最经济的方式,是维护网络安全的核心技术和基础支撑,是保护国家安全的战略资源。
在采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性和有效性等进行安全性评估能解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,是新时期商用密码发展的重中之重,既是党中央做出的重要战略部署,也是顺应全球信息化发展趋势,维护国家网络和信息安全的必然过程。
开展密评
0开展密评是应对网络安全严峻形势的迫切需要
开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理,从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。
02
开展密评是系统安全维护的必然要求
密码安全是网络和信息系统安全的前提,而商用密码应用安全是整体的、系统的、动态的。构建成体系的、安全有效的密码保障体系,对重要网络和信息系统有效抵御网络攻击具有重要意义。密码使用是否正确、合规、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多方面,有必要委托专业机构、专业人员采用专业工具对系统整体密码安全进行专项测试和综合评估,形成科学的评估结果,以便及时掌握商用密码安全现状,采取必要的技术和管理措施。
03
开展密评是相关责任主体的法定职责
《密码法》规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。《密码法》为开展密评提供了明确的法律依据,同时也赋予了严格的法定责任。做好密评工作,是推动《密码法》贯彻落实,构建网络空间密码保障体系的重要举措。
参考依据
《中华人民共和国密码法》
《商用密码应用安全性评估管理办法(试行)》
《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码技术实施要求》
《信息安全等级保护商用密码技术要求》
《信息系统密码测评要求》
GM/T 0054-2018《信息系统密码应用基本要求》
服务对象
按照《商用密码应用安全性评估管理办法(试行)》第三条规定,涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
测评内容
商用密码应用安全性评估主要从总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。
测评流程
